정용환 기자
보안 연구자는 이미 배포된 소프트웨어나 웹 서비스에 존재하는 취약성을 찾기 위해 조사나 테스트를 실시한다. 그런데 클라이언트를 대신해 소프트웨어를 조사해 취약성을 발견한 IT 컨설턴트에 대해 독일 법원이 벌금을 부과했다고 한다.
독일 IT 컨설턴트인 헨드릭 H는 2021년 모던솔루션이라는 기업이 제공하는 온라인 마켓 상품 관리 시스템에 대해 시스템을 이용하는 클라이언트로부터 요구를 받고 문제 해결을 실시했다. 그는 당시 모던솔루션 코드가 벤더에 의해 운용되는 마리아DB 데이터베이스에 접속하고 있다는 걸 깨달았다.
더구나 이 리모트 서버에 액세스하기 위한 암호가 프로그램 파일에 평문으로 보존되어 있어 텍스트 에디터로 열면 암호화되지 않은 하드 코드된 자격 증명이 표시되는 것으로 판명됐다. 프로그램 파일로부터 암호를 발견하면 누구라도 리모트 서버에 로그인해 직접 벤더 뿐 아니라 벤더가 안고 있는 클라이언트 데이터에도 액세스가 가능했다고 한다. 모던솔루션 프로그램 파일은 웹에서 무료로 사용할 수 있기 때문에 텍스트 편집기로 파일을 쉽게 검사하고 데이터베이스 암호를 확인할 수 있다고 보도됐다.
그는 이 문제를 모던솔루션에 보고했지만 보안 보고서에 대한 의견을 거부했다고 한다. 따라서 그는 모던솔루션 보안 취약성에 대해 기술 저널리스트에게 공개했고 6월 23일 데이터 유출 가능성에 대한 기사가 게재됐다.
기사에선 모던솔루션 고객은 변호사와 상담하라며 보안상 결함은 회사 측 게으름이라고 비난했다. 모던솔루션은 이에 대해 성명을 발표했지만 나중에 IT 컨설턴트를 내부 관계자를 통해 암호를 입수해 암호로 보호된 데이터에 부정 액세스했다며 고소했다. 9월에는 경찰이 그의 자택과 직장을 가택 수색해 노트북이나 스마트폰, 외부 기억 매체 등을 압수했다고 한다.
그는 불법 데이터 액세스 죄로 기소됐고 변호인 측은 그의 행위는 윤리적 보안 테스트이며 클라이언트가 의뢰한 분석 일환으로 이뤄졌으며 모던솔루션 보안을 향상시키는데 도움이 되는 취약성을 밝혀냈다고 밝혔다. 하지만 지방법원 측은 IT 컨설턴트 행위느 외부 컴퓨터 시스템에 대한 부정 액세스, 스파이 행위에 해당한다고 판단하고 2024년 1월 벌금 3,000유로를 부과했다. IT 컨설턴트는 항소할 생각이라고 한다.
법원이 범죄 목적이 아닌 보안 테스트에 대해 벌금을 명령하면서 윤리적 보안 연구가 방해를 받고 기업 보안을 높이는 노력이 낮아질 위험이 있다고 지적됐다. 보도에선 악의적 해커라면 서비스를 중단하거나 고객 데이터를 판매하고 취약점을 블랙마켓에서 판매하고 모던솔루션과 명성에 훨씬 더 큰 피해를 입힐 수 있었다며 회사 측은 연구자에게 감사하는 대신 자신의 시스템을 지키는 계기가 된 시도를 범죄로 지목해 보답했다고 비난했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
